Ny version av den ökända Locky Ransomware har dykt upp, lägga den .thor filändelsen. Varianten dök omedelbart efter en annan variant som använder .shit filändelsen exploderade med infektioner i olika länder över hela världen. Den .thor versionen av Locky är mycket farligt och om de upptäcks, råd är att ta bort det på synen med en anti-malware program och inte betala det begärda av lösen 0.5 BTC.
Ladda ner Malware Removal Tool, För att se om ditt system har påverkats av Locky Ransomware Virus och skanna ditt system för .SHIT virus filer
Locky .thor Variant - Vad gör den (metod~~POS=TRUNC)
Det första steget i den Ransomware viruset är att det ska vara utbredd. För att detta skall kunna uppnås, skaparna av viruset har använt en ganska slug men förväntade leveransmetod. De använder spam e-postmeddelanden med olika contant som syftar till att lura oerfarna användare att öppna en arkiverad fil med namn, liknar det följande:
Efter den arkiverade filen har öppnats, den kan innehålla en fil som är en av följande filtyper
När användaren öppnar den här filen, infektionsprocessen har startat. Infektionen fil ansluter distans till en av hundratals datorer för att hämta nyttolast .thor varianten av Locky Ransomware.
När last filen har laddats ner, den Ransomware virus omedelbart blir aktiv genom att börja ändra inställningar i Windows.
Inledningsvis den ansluter till kommando- och kontrollservrar för att börja förlita informations leva som om huruvida infektionen är framgångsrik och vad den skadliga användaren vill göras med den infekterade datorn. De kommandocentrum som Locky har hittills rapporterats att gömma sig bakom följande domäner:
fvhnnhggmck.ru/linuxsucks.php
krtwpukq.su/linuxsucks.php
tdlqkewyjwakpru.ru/linuxsucks.php
185.102.136.77:80/linuxsucks.php
91.200.14.124:80/linuxsucks.php
91.226.92.225:80/linuxsucks.php
77.123.14.137:221/linuxsucks.php
Bland de tappade filer Locky Ransowmare är DLL fil som är ansvarig för filkryptering. Viruset kan omedelbart köra filen, något som också kan kallas en drive-by-download. dock, den .thor varianten av Locky kan också släppa filen i% Startup% katalog eller ändra Run och RunOnce registernycklar så att krypterings körs på Windows start.
Efter kryptering har sprang, precis som .skit filändelsen variant av Locky, denna variant kan också utlösa förödelse på din dator. Det faller omedelbart det unika lösen anteckningar, som är en tapet och en _WHAT_is.html fil.
Anteckningen både leder till en unik URL som tillhör Locky Ransomware som har fler instruktioner om hur du skapar en Bitcoin plånbok och betala lösen på detta sätt.
Efter krypteringen har utförts, den .thor varianten av Locky ser till originalversionerna av filerna är borta för gott, genom att skapa kopior av de krypterade filerna och ”kör över” de ursprungliga filerna via flera passager för radering. Det raderar också Skuggvolym kopior, ifall det finns några med följande kommando injiceras via Windows Kommandotolken.
Hur tar jag bort Locky Ransomware och dekryptera .thor filer?
Tyvärr för alla Locky varianter, Det har inte funnits upptäckt en enda fil dekryptering. Du kan, dock utföra flera andra uppgifter, såsom försök att hitta dekrypteringsnyckeln som motsvarar krypterings av Locky som har krypterat filerna och gjorde dem ser ut som följande:
Ett sätt att göra detta är via ett nätverk sniffa programvara, men du måste fånga ögonblicket när det skadliga programmet skickar information via HTTP, UDP eller TCP till skadliga C2 server.
Ett annat sätt att få nyckeln är genom att betala lösen som inte rekommenderas. Istället kan du försöker använda data återvinning programvara och försök att återställa en del av dina filer genom att skanna sektorerna för din hårddisk.
Ladda ner Malware Removal Tool, För att se om ditt system har påverkats av Locky Ransomware Virus och skanna ditt system för .SHIT virus filer